Сбор информации

Пентест стоимость

Особенно хочу отметить


Вчера товарищество специалистов по ИБ RISC (www.risc.today) провело вебинар совместно с Иваном Новиковым (ONSec) «Тестирование на проникновение: задача, решение и ограничения».
С учетом той волны дискуссий, которая поднималась около месяца назад, вебинар прошел что называется на ура!
Попробую осветить ключевые моменты которые я вынес для себя:

    • Пентест это действительно не аудит ИБ компании. Задачи и цели разные. Тестирование на проникновение По сути пентест – попытки преодоления периметра защиты ИС и/или захват контроля над ИС, не претендующие на полноту анализа всех прямых и косвенных аспектов защиты.

    • Пентест хоть и похож на атаку злоумышленников, но не является полным повторением действий злоумышленников. сис защиты баз данных Пентест имеет ряд ограничений в части периметра объекта и в части выполнения требований законодательства. Основной постулат: пентестер, участвующий в конкретном проекте не может выходить за рамки конкретного объекта, и за рамки законодательства. Иными словами, злоумышленник может воспользоваться найденными в корпоративной среде данными о сисх, выходящих за рамки объекта, а пентестер нет.

    • Пентест в классическом понимании не включает меры по устранению выявленных уязвимостей.

    • Возможность ознакомления пентестером с информацией личного характера пользователей объекта оценки – проблема такого же порядка, как и при применении DLP систем.



    Особенно хочу отметить момент, который для меня стал некоторым открытием. pentest тестирование на проникновение Дело в том, что ряд Заказчиков предпочитают пентесту «системный полный аудит защищенности информации» проводимый Интегратором, обосновывая это тем, что они БОЯТСЯ пентестеров которые в какой-то части выросли из кулхацкеров и могут просто воспользоваться сами выявленными уязвимостями или продать информацию конкурентам Заказчика!
    Но тут есть подвох. сис безопасности сервера данных Подвох заключается в количестве и качестве той информации, которой обладает пентестер и интегратор. По сути интегратор получает на порядок больше информации о сисх Заказчика и порядке/методах защиты. Пентестер же напротив, находится примерно в таком же положении как атакующий злоумышленник! И тут важный момент: пентестер проводя работы использует методы и средства по сути своей доступные хакерам и предоставляет Заказчику информацию по результатам. При этом системы Заказчика еще до проведения пентеста уже могли быть атакованы злоумышленниками! Злоумышленники возможно не раз пытались преодолеть периметр защиты систем Заказчика и уже, возможно, пользуются результатами успешной атаки! Получается, что сам по себе пентест дает информацию о возможности успешных атак которые в текущий момент могут проводиться злоумышленниками и без всяких пентестеров! Без предоставления им дополнительной информации.
    К какому же я пришел выводу: РИСК утечки информации от пентестеров НЕ ПРЕВЫШАЕТ риск утечки от Интеграторов! Разница еще и в том, что у Интегратора априори больше информации о сисх Заказчика не только системного, но и прикладного – бизнес уровня.
    По сути миф о пентестерах, который я сам воспринимал всерьез развенчан!
    И это не проблематика применения пентеста а проблематика среды в которой и так атаки проводят злоумышленники!

    Похожие статьи Pentest

    • Услуга пентест безопасности для сайтов

      Пентест ( Тестирование на проникновение ) это сервис на сайте, который предлогает индивидуальный план тестирования Вашего сайта на безопасность. 1)...

    • Пентест стоимость

      Вот теперь Фрилансеру и пригодились все его знания принципов веб-безопасности. Даром не прошли ни чтение профильного хаба, ни многочисленные статьи из...

    • Пентест wordpress своими руками

      К сожалению, нигде не нашел упоминания в постах на Хабре о замечательной утилите — WPScan, которая просто безумно помогает с пентестом блогов на...

    • Комплексный тест на проникновение

      Тестирование на проникновение ( penetration testing ) метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки...

    • Тест на проникновение

      Тесты на проникновение Тестирование системы защиты – это метод выявления недостатков безопасности с точки зрения постороннего человека (взломщика)....